自2025年1月28日，深度求索（DeepSeek）官网受到大规模恶意攻击开始，1月30日凌晨，攻击烈度升级，攻击指令暴增上百倍，至少有2个僵尸网络参与攻击，共发起了两波次攻击。攻击者持续对我国的关键基础设施、关键科研场所、关键行业、关键数据、关键机构发起攻击，企图窃取敏感信息、破坏系统运行。截止到今年上半年国内还有哪些重大网络安全事件，我们做个逐一分析。“没有网络安全就没有国家安全”，这句话深刻地揭示了网络安全在当今时代的至关重要性。

​

1.西北能源基地DNS篡改事件（2025年1月）

• 攻击背景：某境外组织试图通过篡改西北能源基地路由器DNS，阻断数据传输，意图引发区域性停电事故。

• 攻击手段：

供应链攻击：入侵能源企业供应商系统，植入恶意代码篡改DNS配置。

隐蔽通信：利用加密隧道与境外C2服务器通信，逃避安全检测。

• 应对措施：

72小时反制：甘肃网警快速锁定攻击源，实施技术反制，恢复系统正常运行。

供应链审查：建立“芯片-操作系统-应用软件”全链条安全审查机制，强化供应链安全。

• 技术分析：

供应链攻击路径：攻击者通过入侵设备供应商系统，将恶意代码植入核心路由器的固件中，篡改DNS配置，导致数据传输中断。

加密隧道技术：攻击者利用加密隧道与境外C2服务器通信，隐藏攻击行为，逃避传统网络安全设备的检测。

快速响应机制：通过建立快速响应机制，网警在72小时内成功锁定攻击源并恢复系统正常运行，避免了更大范围的停电事故。

2.美国NSA对亚冬会系统性攻击（2025年2月）

• 攻击背景：第九届亚冬会期间，美国国家安全局（NSA）针对赛事信息系统及黑龙江省能源、交通、国防科研等关键领域发动27万次攻击，企图窃取运动员生物特征数据并制造社会混乱。

• 攻击手段：

技术隐蔽性：通过荷兰等国云主机作跳板，利用微软Windows系统预留后门实施“休眠式渗透”，激活潜伏漏洞。

AI赋能：首次使用AI智能体自动生成攻击代码，实现多目标无差别扫描和漏洞利用。

学术掩护：加利福尼亚大学、弗吉尼亚理工大学等高校参与攻击工具研发，暴露“情报机构+学术机构”联动模式。

• 应对措施：

精准溯源：中国网络安全团队通过全球最大安全数据库、网络资产测绘系统等技术，锁定3名NSA特工（凯瑟琳·威尔逊等），首次公开曝光NSA战术手册。

立体防御：亚冬会期间部署AI算法实时识别未知漏洞攻击，封禁12,602个恶意IP，拦截17万次攻击，实现赛事“零事故”运行。

法律震慑：依据新修订的《反间谍法》，将针对关键信息基础设施的网络攻击明确列为间谍行为，设立专项奖励机制。

• 技术分析：

多跳板攻击：攻击者利用荷兰等国的云主机作为跳板，隐藏真实攻击源，增加溯源难度。

AI攻击技术：AI智能体自动生成攻击代码，实现自动化攻击，提高了攻击效率和隐蔽性。

实时防御系统：通过AI算法实时识别未知漏洞攻击，实现对攻击行为的快速检测和拦截，有效保护了赛事信息系统的安全。

3.App违规收集个人信息事件（2025年4月）

• 攻击背景：国家网络安全通报中心曝光67款App违法违规收集使用个人信息，涉及教育、金融、政务等领域，其中《客很多》《城泊通》等APP存在强制授权、数据“裸奔”等问题。

• 攻击手段：

代码级后门：43%的APP存在“代码级后门”，如《客很多》使用混淆代码隐藏数据收集行为。

第三方滥用：部分APP向第三方提供未匿名化数据，导致用户借贷记录、行程轨迹泄露。

• 应对措施：

专项治理：工信部启动专项行动，要求APP上架前通过代码级审查；建立“数据跨境流动监测平台”。

法律处罚：某金融机构因未落实数据加密被处罚500万元；某互联网公司违规收集用户信息被罚1.2亿元。•

• 技术分析：

代码混淆技术：攻击者通过代码混淆技术隐藏恶意代码，逃避安全检测，实现数据收集行为。

第三方数据滥用：部分APP在未经用户同意的情况下，将用户数据提供给第三方，导致数据泄露。

代码级审查：通过代码级审查，发现并修复APP中的恶意代码，确保APP的安全性。

4.勒索软件攻击（2025年5月）

• 攻击背景：勒索软件攻击呈现更加激进和破坏性的趋势，攻击者不仅将目标锁定在关键行业与运营领域，还借助破坏性极强的工具对受害者造成难以逆转的永久性损害。

• 攻击手段：

多云环境攻击：攻击者利用多云环境中的配置错误和漏洞，发起勒索软件攻击。

供应链攻击：通过入侵供应商系统，将勒索软件植入目标企业的软件更新包中。

• 应对措施：

零信任架构：部署零信任架构，限制攻击者的横向移动，减少攻击面。

备份与恢复：建立数据备份与恢复机制，确保在勒索软件攻击后能够快速恢复系统。

• 技术分析：

多云环境漏洞利用：攻击者利用多云环境中的配置错误和漏洞，如Kubernetes配置错误、服务网格漏洞等，发起勒索软件攻击。

供应链攻击路径：攻击者通过入侵供应商系统，将勒索软件植入目标企业的软件更新包中，实现对目标企业的攻击。

零信任架构：通过部署零信任架构，限制攻击者的横向移动，减少攻击面，提高系统的安全性。

5.云原生架构缺陷（2025年6月）

• 攻击背景：云原生架构缺陷导致大规模风险，Kubernetes配置错误、服务网格漏洞及Serverless函数注入等问题，可能导致容器逃逸事件增长50%。

• 攻击手段：

配置错误利用：攻击者利用Kubernetes配置错误，实现容器逃逸，获取宿主机权限。

服务网格漏洞利用：攻击者利用服务网格漏洞，实现对容器集群的攻击。

• 应对措施：

配置审计：定期进行Kubernetes配置审计，修复配置错误。

服务网格加固：加固服务网格，修复漏洞，提高系统的安全性。

• 技术分析：

Kubernetes配置错误：攻击者利用Kubernetes配置错误，如未限制容器的权限、未启用RBAC等，实现容器逃逸，获取宿主机权限。

服务网格漏洞：攻击者利用服务网格漏洞，如未启用TLS加密、未限制服务间通信等，实现对容器集群的攻击。

配置审计与加固：通过定期进行配置审计和加固，修复配置错误和漏洞，提高系统的安全性。

6.物联网僵尸网络（2025年7月）

• 攻击背景：利用TOTOLink、D-Link等设备漏洞组建的僵尸网络规模可达百万级，DDoS攻击峰值突破5Tbps。

• 攻击手段：

设备漏洞利用：攻击者利用物联网设备的漏洞，如TOTOLink、D-Link等设备的固件漏洞，组建僵尸网络。

大规模扫描：攻击者对ModbusTCP等OT协议进行大规模扫描，寻找漏洞设备。

• 应对措施：

固件更新：及时更新物联网设备的固件，修复漏洞。

7.境外恶意网址和恶意IP攻击（2025年7月）

• 背景：国家网络安全通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。

• 攻击手段：

后门利用：如恶意地址 servicee.kozow.com  （归属地美国）植入远控木马，能够下载文件、执行指定程序、收集系统信息等。

僵尸网络：如恶意IP 196.251.118.12  （归属地荷兰）用于建立僵尸网络。

• 应对措施：

技术监测：通过网络安全监测系统及时发现并封禁恶意IP。

用户提醒：提醒用户不要点击不明链接或下载不明文件，增强安全意识。

阅读原文：原文链接